Schadensersatz aus Artikel 82 I DGSVO wenn personenbezogene Daten nach Beendigung des Auftrags beim Verarbeiter verbleiben und dort abgegriffen werden

Schadensersatz aus Artikel 82 I DGSVO wenn personenbezogene Daten nach Beendigung des Auftrags beim Verarbeiter verbleiben und dort abgegriffen werden

Verfahrensgang

vorgehend OLG Dresden, 5. November 2024, Az: 4 U 999/24
vorgehend LG Dresden, 18. Juni 2024, Az: 3 O 1284/23

Worum geht es in diesem Urteil?

Der Bundesgerichtshof hat am 11. November 2025 ein sehr wichtiges Urteil zum Thema Datenschutz gefällt. Es geht um die Frage, wann Nutzer Anspruch auf Schadenersatz haben, wenn ihre persönlichen Daten im Internet gestohlen werden.

In diesem Fall klagte ein Nutzer gegen den Musik-Streamingdienst Deezer. Der Nutzer wollte eine Entschädigung, weil seine persönlichen Daten durch ein Datenleck in die Hände von Kriminellen geraten waren.

Was ist genau passiert?

Der Kläger hatte ein Konto bei dem Musikdienst Deezer. Deezer hatte eine andere Firma (genannt „Unternehmen O.“) beauftragt, bestimmte Aufgaben zu erledigen. Dafür wurden Kundendaten an diese Firma weitergegeben. Der Vertrag zwischen Deezer und der Firma O. endete am 1. Dezember 2019.

Eigentlich hätte die Firma O. alle Daten zu diesem Zeitpunkt löschen müssen. Sie kündigte dies per E-Mail auch an. Aber das passierte nicht. Die Daten wurden nicht gelöscht, sondern nur in einen anderen Speicherbereich verschoben.

Jahre später, im Jahr 2022, griffen Hacker diese Daten ab. Die Daten landeten im sogenannten „Darknet“. Dort wurden sie zum Verkauf angeboten. Betroffen waren unter anderem der Vorname, der Nachname, die E-Mail-Adresse und das Geschlecht des Klägers. Der Kläger machte sich deshalb Sorgen. Er befürchtete Betrugsversuche und Werbe-Müll (Spam).

Was sagten die unteren Gerichte?

Zuerst landete der Fall vor dem Landgericht Dresden und dann vor dem Oberlandesgericht Dresden. Beide Gerichte lehnten die Klage ab. Sie waren der Meinung, dem Kläger sei kein echter Schaden entstanden.

Die Begründung war: Bloße Sorgen oder ein ungutes Gefühl seien kein Grund für eine Geldzahlung. Außerdem sei eine E-Mail-Adresse kein sehr sensibles Datum. Der Kläger habe auch nicht beweisen können, dass er psychisch stark unter der Situation leide.

Die Entscheidung des Bundesgerichtshofs

Der Bundesgerichtshof sah das ganz anders. Er hob das Urteil aus Dresden auf. Die Richter in Karlsruhe gaben dem Kläger in den wichtigsten Punkten recht.

Hier sind die zentralen Punkte der Entscheidung, einfach erklärt:

1. Die Verantwortung der Firma Eine Firma wie Deezer darf sich nicht einfach darauf verlassen, dass ein Partner die Daten löscht. Wenn die Zusammenarbeit endet, muss Deezer sicherstellen, dass die Daten wirklich weg sind. Eine einfache E-Mail mit einer Ankündigung reicht nicht. Deezer hätte eine Bestätigung verlangen müssen, dass die Löschung wirklich durchgeführt wurde. Weil Deezer das nicht geprüft hat, tragen sie eine Mitschuld an dem Datenleck.

Schadensersatz aus Artikel 82 I DGSVO wenn personenbezogene Daten nach Beendigung des Auftrags beim Verarbeiter verbleiben und dort abgegriffen werden

2. Was gilt als Schaden? Das Gericht stellte klar, dass der Begriff „Schaden“ im Datenschutzrecht weit gefasst werden muss.

• Kontrollverlust ist ein Schaden: Wenn Daten gestohlen werden und im Darknet landen, verliert der Nutzer die Kontrolle darüber. Dieser Kontrollverlust allein ist bereits ein sogenannter „immaterieller Schaden“. Der Nutzer muss nicht beweisen, dass er deswegen krank geworden ist oder unter Schock steht.
• Keine Bagatellgrenze: Es gibt keine Untergrenze für einen Schaden. Auch wenn der Vorfall klein erscheint, kann ein Anspruch auf Entschädigung bestehen.
• Angst ist begründet: Die Sorge des Klägers vor Missbrauch ist verständlich. Wenn E-Mail-Adressen und Namen im Darknet verkauft werden, ist die Gefahr von Betrugs-Mails und Spam sehr hoch. Diese begründete Angst zählt ebenfalls als Schaden.

3. Schadenersatz für die Zukunft Der Kläger wollte auch festgestellt wissen, dass Deezer für künftige Schäden haften muss. Zum Beispiel, falls er später durch die gestohlenen Daten Opfer eines Betrugs wird und Geld verliert. Das Oberlandesgericht hatte dies abgelehnt, weil es das für unwahrscheinlich hielt.

Der BGH widersprach auch hier. Es ist durchaus möglich, dass Kriminelle die Daten nutzen, um den Kläger später zu betrügen. Da die Daten nun einmal im Umlauf sind, besteht dieses Risiko dauerhaft. Daher kann der Kläger verlangen, dass die Haftung für solche möglichen zukünftigen Schäden vom Gericht festgestellt wird.

Wie geht es weiter?

Der Bundesgerichtshof hat den Fall nicht endgültig abgeschlossen. Er hat ihn zurück an das Oberlandesgericht Dresden verwiesen.

Dort muss nun neu verhandelt werden. Das Oberlandesgericht muss nun die Vorgaben des BGH beachten. Es muss prüfen, wie hoch die Geldentschädigung für den Kläger sein soll. Dabei darf das Gericht nicht mehr sagen, es liege gar kein Schaden vor. Es muss die Höhe des Schadensersatzes festlegen.

Fazit für Verbraucher

Dieses Urteil ist ein großer Erfolg für den Verbraucherschutz. Es macht es für Unternehmen schwerer, sich bei Datenlecks herauszureden.

Die wichtigsten Lehren daraus sind:

1. Unternehmen müssen ihre Partner streng kontrollieren.
2. Wenn Daten im Darknet landen, ist das fast immer ein Schaden.
3. Betroffene müssen keine schweren psychischen Folgen nachweisen, um Geld zu bekommen.
4. Die Angst vor Datenmissbrauch wird von den Gerichten ernst genommen.